Troyanos que se valen de nuevas técnicas de ingeniería social

Nombre de virus: Generic Downloader.ak
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: por correo electrónico.
Activación: Por ejecución de fichero EXE adjunto al email 
Detección: desde DATS 5062  
Motor necesario:  5.1.00
Infección actual: Inicial (Inicial, Media, Elevada)

En el ámbito de la seguridad informática, se entiende como ingeniería social la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Se aprovecha la tendencia natural de la gente a confiar en la palabra de alguien, antes de aprovechar agujeros de seguridad en los sistemas. Un ejemplo de ataque de ingeniería social es el uso de archivos adjuntos a los e-mails, que ejecutan código malicioso, para lo que es necesario convencer al usuario de la conveniencia de abrir dicho adjunto.

Últimamente existe cierta sensibilización de los usuarios respecto de la legalidad de las versiones de Windows utilizadas (Genuine Microsoft Software), y esta circunstancia la  aprovecha el Generic Downloader.ak para intentar convencer al usuario de la conveniencia de instalar el fichero adjunto e infectar de este modo el equipo del usuario.

El mensaje con el que se propaga este troyano aparenta venir de Microsoft,  e informa al usuario que lo ha recibido por el hecho de estar utilizando Software Genuino de Microsoft y estar subscrito a la lista de mailing de Microsoft Windows Update.

Asimismo, el mensaje informa de una (falsa) vulnerabilidad MS07-0065 que afecta a Ms Outlook, y adjunta un fichero MSOUTRC2007Update-KB863892.exe  para que el usuario lo instale y se infecte.

Características

El mensaje presenta el siguiente formato:

Asunto: Microsoft Security Bulletin MS07-0065

Fichero Adjunto: MSOUTRC2007Update-KB863892.exe

Mensaje:

Dear (Nombre del destinatario)

You are receiving this message because you are using Genuine Microsoft Software and your e-mail address has been subscribed to the Microsoft Windows Update mailing list.

A new 0-day vulnerability has appeared in the wild and was reported for the first time Monday, June 18th. The vulnerability affects machines running MICROSOFT OUTLOOK and allows an attacker to take full control of the vulnerable computer if the exploitation process is succesfull.

Since then, more than 100,000 machines have been reported as exploited and used to promote spammy pharmacy products such as viagra and cialis.

An update has been released to fix this issue and can be downloaded from the following link :

http://windowsupdate.microsoft.com/outlook/(eliminado)

Quick Details
File Name: MSOUTRC2007Update-KB863892.exe
Version: 3.1.1023
Date Published: 06/25/2007
Download Size: 20 Kb
Estimated Download Time: 1 sec

It's urgent to download and install the update as soon as possible in order to decrease the number of succesfull attacks that occure each day. The update is only available for Genuine Versions of Microsoft Outllok.
Instructions : 
1. Click the link above to start the download
2. Save the update in your WINDOWS directory and run it from there.If you want to start the installation immediately click Run in the download box, after you click the link.
3. After you run it, the update will download the security packages required to patch Microsoft Outlook.The entire process will take around 10-15 minutes, and you'll receive a confirmation message once the update process is completed.

Your Microsoft Windows Licence Information is :

REGISTERED TO : (Nombre del Destinatario, Nombre de la Empresa)

Licence KEY : (números aleatorios)

Thank you

Microsoft Corp.

El mensaje se envía al destinatario, incluyendo nombre completo y organización.

La ejecución del fichero adjunto crea un fichero en el directorio de Sistema de Windows:

• %SysDir%\sdoctor.exe

También genera la siguiente entrada en el registro, para ejecutarse al inicio del sistema:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "SpywareDoctor" = %SysDir%\sdoctor.exe

Detección y eliminación

A partir de DATS 5062 y motor de exploración 5.1.00.

Anterior